Un error de seguridad en Instagram permitía robar una cuenta en menos de 10 minutos
“Durante un ataque real, el atacante necesita 5.000 IP para piratear una cuenta”, dijo experto.
Instagram ha pagado 30.000 dólares al hombre que descubrió y avisó a la plataforma de que se podía robar cualquier cuenta solicitando reestablecer la contraseña. Conseguirlo le costaría a un ‘hacker’ unos 150 dólares, ha explicado.
Ha sido el desarrollador web e investigador de seguridad Laxman Muthiyah, autor del blog sobre tecnología The Zero Hack, quien reveló el fallo en la red social. Cuando los usuarios desean restablecer su contraseña o recuperar el acceso a su cuenta en Instagram, el servicio les pide que introduzcan un código de seguridad de seis dígitos enviado a su número de móvil o de correo electrónico. Eso significa que uno tendría que adivinar una de las millones
de combinaciones posibles para hacerse con el control de la cuenta de otra persona. Aunque hay un camino más corto.
El código debe utilizarse en un plazo de 10 minutos. Además, Instagram cuenta con una protección que limita la velocidad a la que se introducen las combinaciones para evitar hackeos. Es decir, limita el número de solicitudes que puede hacer una dirección IP. Pero solo una.
Sin fuerza bruta
Así que Laxman descubrió que esta característica no sirve ante un ataque de fuerza bruta desde múltiples direcciones IP que envíen peticiones simultáneas sin limitarse.
“Durante un ataque real, el atacante necesita 5.000 IP para piratear una cuenta. Parecen muchas, pero es fácil de lograr si usas un proveedor de servicios en la nube como Amazon o Google. Costaría unos 150 dólares organizar un ataque completo lanzando un millón de códigos”, dice.
Laxman informó de la vulnerabilidad a Facebook, que es el propietario de Instagram. Desde entonces, la empresa ha corregido el error y Laxman tiene en el bolsillo 30.000 dólares.